Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en La función initDocumentParser (CVE-2019-13990)
    Severidad: ALTA
    Fecha de publicación: 26/07/2019
    Fecha de última actualización: 22/12/2023
    La función initDocumentParser en el archivo xml/XMLSchedulingDataProcessor.java en Quartz Scheduler de Terracotta hasta la versión 2.3.0, permite ataques de tipo XXE por medio de una descripción del trabajo.
  • Vulnerabilidad en el Plugin Kubernetes Continuous Deploy de Jenkins (CVE-2022-27209)
    Severidad: MEDIA
    Fecha de publicación: 15/03/2022
    Fecha de última actualización: 22/12/2023
    Una falta de comprobación de permisos en el Plugin Kubernetes Continuous Deploy de Jenkins versiones 2.3.1 y anteriores, permite a atacantes con permiso Overall/Read enumerar los IDs de las credenciales almacenadas en Jenkins
  • Vulnerabilidad en macOS Ventura (CVE-2023-40392)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/09/2023
    Fecha de última actualización: 22/12/2023
    Se solucionó un problema de privacidad mejorando la redacción de datos privados para las entradas de registro. Este problema se solucionó en macOS Ventura 13.5. Una aplicación puede leer información de ubicación confidencial.
  • Vulnerabilidad en macOS Ventura (CVE-2023-38605)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/09/2023
    Fecha de última actualización: 22/12/2023
    Este problema se solucionó mejorando la redacción de información sensible. Este problema se solucionó en macOS Ventura 13.5. Una aplicación puede determinar la ubicación actual de un usuario.
  • Vulnerabilidad en macOS Big Sur, iOS, iPadOS y macOS Monterey (CVE-2023-40442)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/09/2023
    Fecha de última actualización: 22/12/2023
    Se solucionó un problema de privacidad mejorando la redacción de datos privados para las entradas de logs. Este problema se solucionó en macOS Big Sur 11.7.9, iOS 15.7.8 y iPadOS 15.7.8, macOS Monterey 12.6.8. Es posible que una aplicación pueda leer información sensible de ubicación.
  • Vulnerabilidad en servidor SMB kernel de Linux (CVE-2023-32257)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/07/2023
    Fecha de última actualización: 22/12/2023
    Se encontró una falla en el ksmbd del kernel de Linux, un servidor SMB de alto rendimiento en el kernel. La falla específica existe dentro del procesamiento de comandos SMB2_SESSION_SETUP y SMB2_LOGOFF. El problema se debe a la falta de bloqueo adecuado al realizar operaciones en un objeto. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del kernel.
  • Vulnerabilidad en kernel de Linux (CVE-2023-38426)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/07/2023
    Fecha de última actualización: 22/12/2023
    Se descubrió un problema en el kernel de Linux antes de 6.3.4. KSMBD tiene una lectura fuera de los límites en smb2_find_context_vals cuando el name_len de create_context es mayor que la longitud de la etiqueta.
  • Vulnerabilidad en Node.js (CVE-2023-32005)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/09/2023
    Fecha de última actualización: 22/12/2023
    Se ha identificado una vulnerabilidad en la versión 20 de Node.js, que afecta a los usuarios del modelo de permisos experimental cuando se utiliza el indicador --allow-fs-read con un argumento "non-*". Esta falla surge de un modelo de permisos inadecuado que no logra restringir las estadísticas de archivos a través de la API `fs.statfs`. Como resultado, los actores maliciosos pueden recuperar estadísticas de archivos a los que no tienen acceso de lectura explícito. Esta vulnerabilidad afecta a todos los usuarios que utilizan el modelo de permiso experimental en Node.js 20. Tenga en cuenta que en el momento en que se emitió este CVE, el modelo de permiso es una característica experimental de Node.js.
  • Vulnerabilidad en tvOS, iOS, iPadOS, watchOS y macOS Sonoma (CVE-2023-40400)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/09/2023
    Fecha de última actualización: 22/12/2023
    Este problema se solucionó con controles mejorados. Este problema se solucionó en tvOS 17, iOS 17 y iPadOS 17, watchOS 10, macOS Sonoma 14. Un usuario remoto puede provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario.
  • Vulnerabilidad en iOS, iPadOS 17 y macOS Sonoma (CVE-2023-41995)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/09/2023
    Fecha de última actualización: 22/12/2023
    Se solucionó un problema de use-after-free con una gestión de memoria mejorada. Este problema se solucionó en iOS 17 y iPadOS 17, macOS Sonoma 14. Es posible que una aplicación pueda ejecutar código arbitrario con privilegios del kernel.
  • Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2023-22068)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/10/2023
    Fecha de última actualización: 22/12/2023
    Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB). Las versiones compatibles que se ven afectadas son la 8.0.34 y anteriores y la 8.1.0. Una vulnerabilidad fácilmente explotable permite que un atacante con altos privilegios y acceso a la red a través de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos a esta vulnerabilidad pueden resultar en una capacidad no autorizada de provocar un bloqueo o una falla frecuentemente repetible (DOS completo) del servidor MySQL. CVSS 3.1 Puntuación base 4.9 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2023-22070)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/10/2023
    Fecha de última actualización: 22/12/2023
    Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Servidor: Optimizador). Las versiones compatibles que se ven afectadas son la 8.0.34 y anteriores y la 8.1.0. Una vulnerabilidad fácilmente explotable permite que un atacante con altos privilegios y acceso a la red a través de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos a esta vulnerabilidad pueden resultar en una capacidad no autorizada de provocar un bloqueo o una falla frecuentemente repetible (DOS completo) del servidor MySQL. CVSS 3.1 Puntuación base 4.9 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2023-22078)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/10/2023
    Fecha de última actualización: 22/12/2023
    Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Servidor: Optimizer). Las versiones compatibles que se ven afectadas son la 8.0.34 y anteriores y la 8.1.0. Una vulnerabilidad fácilmente explotable permite que un atacante con altos privilegios y acceso a la red a través de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos a esta vulnerabilidad pueden resultar en una capacidad no autorizada de provocar un bloqueo o una falla frecuentemente repetible (DOS completo) del servidor MySQL. CVSS 3.1 Puntuación base 4.9 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2023-22079)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/10/2023
    Fecha de última actualización: 22/12/2023
    Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Servidor: Optimizer). Las versiones compatibles que se ven afectadas son la 8.0.34 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con pocos privilegios y acceso a la red a través de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos a esta vulnerabilidad pueden resultar en una capacidad no autorizada de provocar un bloqueo o una falla frecuentemente repetible (DOS completo) del servidor MySQL. CVSS 3.1 Puntaje base 6.5 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2023-22084)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/10/2023
    Fecha de última actualización: 22/12/2023
    Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB). Las versiones compatibles que se ven afectadas son 5.7.43 y anteriores, 8.0.34 y anteriores y 8.1.0. Una vulnerabilidad fácilmente explotable permite que un atacante con altos privilegios y acceso a la red a través de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos a esta vulnerabilidad pueden resultar en una capacidad no autorizada de provocar un bloqueo o una falla frecuentemente repetible (DOS completo) del servidor MySQL. CVSS 3.1 Puntuación base 4.9 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2023-22092)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/10/2023
    Fecha de última actualización: 22/12/2023
    Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Servidor: Optimizador). Las versiones compatibles que se ven afectadas son la 8.0.34 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con altos privilegios y acceso a la red a través de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos a esta vulnerabilidad pueden resultar en una capacidad no autorizada de provocar un bloqueo o una falla frecuentemente repetible (DOS completo) del servidor MySQL. CVSS 3.1 Puntuación base 4.9 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2023-22095)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/10/2023
    Fecha de última actualización: 22/12/2023
    Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Servidor: Optimizer). La versión compatible afectada es la 8.1.0. Una vulnerabilidad fácilmente explotable permite que un atacante con pocos privilegios y acceso a la red a través de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos a esta vulnerabilidad pueden resultar en una capacidad no autorizada de provocar un bloqueo o una falla frecuentemente repetible (DOS completo) del servidor MySQL. CVSS 3.1 Puntaje base 6.5 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2023-22097)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/10/2023
    Fecha de última actualización: 22/12/2023
    Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB). Las versiones compatibles que se ven afectadas son la 8.0.34 y anteriores y la 8.1.0. Una vulnerabilidad fácilmente explotable permite que un atacante con altos privilegios y acceso a la red a través de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos a esta vulnerabilidad pueden resultar en una capacidad no autorizada de provocar un bloqueo o una falla frecuentemente repetible (DOS completo) del servidor MySQL. CVSS 3.1 Puntuación base 4.9 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2023-22103)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/10/2023
    Fecha de última actualización: 22/12/2023
    Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Servidor: Optimizer). Las versiones compatibles que se ven afectadas son la 8.0.34 y anteriores y la 8.1.0. Una vulnerabilidad fácilmente explotable permite que un atacante con altos privilegios y acceso a la red a través de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos a esta vulnerabilidad pueden resultar en una capacidad no autorizada de provocar un bloqueo o una falla frecuentemente repetible (DOS completo) del servidor MySQL. CVSS 3.1 Puntuación base 4.9 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2023-22104)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/10/2023
    Fecha de última actualización: 22/12/2023
    Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB). Las versiones compatibles que se ven afectadas son la 8.0.32 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con altos privilegios y acceso a la red a través de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos a esta vulnerabilidad pueden resultar en una capacidad no autorizada de provocar un bloqueo o una falla frecuentemente repetible (DOS completo) del servidor MySQL. CVSS 3.1 Puntuación base 4.9 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2023-22110)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/10/2023
    Fecha de última actualización: 22/12/2023
    Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que se ven afectadas son la 8.0.33 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con altos privilegios y acceso a la red a través de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos a esta vulnerabilidad pueden resultar en una capacidad no autorizada de provocar un bloqueo o una falla frecuentemente repetible (DOS completo) del servidor MySQL. CVSS 3.1 Puntuación base 4.9 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2023-22111)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/10/2023
    Fecha de última actualización: 22/12/2023
    Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: UDF). Las versiones compatibles que se ven afectadas son la 8.0.33 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con altos privilegios y acceso a la red a través de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos a esta vulnerabilidad pueden resultar en una capacidad no autorizada de provocar un bloqueo o una falla frecuentemente repetible (DOS completo) del servidor MySQL. CVSS 3.1 Puntuación base 4.9 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2023-22112)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/10/2023
    Fecha de última actualización: 22/12/2023
    Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Servidor: Optimizer). Las versiones compatibles que se ven afectadas son la 8.0.34 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con altos privilegios y acceso a la red a través de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos a esta vulnerabilidad pueden resultar en una capacidad no autorizada de provocar un bloqueo o una falla frecuentemente repetible (DOS completo) del servidor MySQL. CVSS 3.1 Puntuación base 4.9 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2023-22113)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/10/2023
    Fecha de última actualización: 22/12/2023
    Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Encryption). Las versiones compatibles que se ven afectadas son la 8.0.33 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con altos privilegios y acceso a la red a través de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos a esta vulnerabilidad pueden resultar en acceso de lectura no autorizado a un subconjunto de datos accesibles del servidor MySQL. CVSS 3.1 Puntaje base 2.7 (Impactos en la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N).
  • Vulnerabilidad en ITPison OMICARD EDM (CVE-2023-48371)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/12/2023
    Fecha de última actualización: 22/12/2023
    La función de carga de archivos de ITPison OMICARD EDM no restringe la carga de archivos con tipos peligrosos. Un atacante remoto no autenticado puede aprovechar esta vulnerabilidad para cargar y ejecutar archivos ejecutables arbitrarios para ejecutar comandos arbitrarios del sistema o interrumpir el servicio.
  • Vulnerabilidad en ITPison OMICARD EDM (CVE-2023-48372)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/12/2023
    Fecha de última actualización: 22/12/2023
    La función relacionada con SMS de ITPison OMICARD EDM no tiene validación suficiente para la entrada del usuario. Un atacante remoto no autenticado puede aprovechar esta vulnerabilidad para inyectar comandos SQL arbitrarios para acceder, modificar y eliminar la base de datos.
  • Vulnerabilidad en ITPison OMICARD EDM (CVE-2023-48373)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/12/2023
    Fecha de última actualización: 22/12/2023
    ITPison OMICARD EDM tiene una vulnerabilidad de path traversal dentro de su parámetro “FileName” en una función específica. Un atacante remoto no autenticado puede aprovechar esta vulnerabilidad para eludir la autenticación y descargar archivos arbitrarios del sistema.
  • Vulnerabilidad en ArmorX Global Technology Corporation ArmorX Spam (CVE-2023-48384)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/12/2023
    Fecha de última actualización: 22/12/2023
    ArmorX Global Technology Corporation ArmorX Spam no tiene validación suficiente para la entrada del usuario dentro de una función especial. Un atacante remoto no autenticado puede aprovechar esta vulnerabilidad para inyectar comandos SQL arbitrarios para acceder, modificar y eliminar la base de datos.
  • Vulnerabilidad en TAIWAN-CA(TWCA) JCICSecurityTool's Registry (CVE-2023-48387)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/12/2023
    Fecha de última actualización: 22/12/2023
    Las funciones relacionadas con TAIWAN-CA(TWCA) JCICSecurityTool's Registry tienen un filtrado insuficiente para caracteres especiales. Un atacante remoto no autenticado puede inyectar un script malicioso en una página web para realizar un ataque XSS (Stored Cross-Site Scripting).
  • Vulnerabilidad en Multisuns EasyLog web+ (CVE-2023-48388)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/12/2023
    Fecha de última actualización: 22/12/2023
    Multisuns EasyLog web+ tiene la vulnerabilidad de utilizar credenciales codificadas. Un atacante remoto puede aprovechar esta vulnerabilidad para acceder al sistema y realizar operaciones arbitrarias o interrumpir el servicio.
  • Vulnerabilidad en Multisuns EasyLog web+ (CVE-2023-48389)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/12/2023
    Fecha de última actualización: 22/12/2023
    Multisuns EasyLog web+ tiene una vulnerabilidad de path traversal dentro de su parámetro en una URL específica. Un atacante remoto no autenticado puede aprovechar esta vulnerabilidad para eludir la autenticación y descargar archivos arbitrarios del sistema.
  • Vulnerabilidad en Multisuns EasyLog web+ (CVE-2023-48390)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/12/2023
    Fecha de última actualización: 22/12/2023
    Multisuns EasyLog web+ tiene una vulnerabilidad de inyección de código. Un atacante remoto no autenticado puede aprovechar esta vulnerabilidad para inyectar código y acceder al sistema para realizar operaciones arbitrarias del sistema o interrumpir el servicio.
  • Vulnerabilidad en Kaifa Technology WebITR (CVE-2023-48392)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/12/2023
    Fecha de última actualización: 22/12/2023
    Kaifa Technology WebITR es un sistema de asistencia en línea, tiene una vulnerabilidad al usar una clave de cifrado codificada. Un atacante remoto no autenticado puede generar un parámetro de token válido y aprovechar esta vulnerabilidad para acceder al sistema con una cuenta de usuario arbitraria, incluida la cuenta de administrador, para ejecutar los permisos de la cuenta de inicio de sesión y obtener información relevante.
  • Vulnerabilidad en Kaifa Technology WebITR (CVE-2023-48393)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/12/2023
    Fecha de última actualización: 22/12/2023
    Kaifa Technology WebITR es un sistema de asistencia en línea. Un atacante remoto con privilegios de usuario normal puede obtener información confidencial parcial del sistema a partir de un mensaje de error.
  • Vulnerabilidad en Kaifa Technology WebITR (CVE-2023-48394)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/12/2023
    Fecha de última actualización: 22/12/2023
    Kaifa Technology WebITR es un sistema de asistencia en línea, su función de carga de archivos no restringe la carga de archivos con tipos peligrosos. Un atacante remoto con privilegios de usuario normal puede aprovechar esta vulnerabilidad para cargar archivos arbitrarios y ejecutar comandos arbitrarios o interrumpir el servicio.
  • Vulnerabilidad en Kaifa Technology WebITR (CVE-2023-48395)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/12/2023
    Fecha de última actualización: 22/12/2023
    Kaifa Technology WebITR es un sistema de asistencia en línea, no tiene validación suficiente para la entrada del usuario dentro de una función especial. Un atacante remoto con privilegios de usuario normal puede aprovechar esta vulnerabilidad para inyectar comandos SQL arbitrarios para leer la base de datos.
  • Vulnerabilidad en allegroai/clearml-server de GitHub (CVE-2023-6778)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/12/2023
    Fecha de última actualización: 22/12/2023
    Cross-Site Scripting (XSS) almacenado en el repositorio de GitHub allegroai/clearml-server anterior a 1.13.0. Esta vulnerabilidad afecta al servidor de código abierto ClearML, que no está diseñado para usarse como un servicio disponible públicamente. Las recomendaciones de seguridad enfatizan que debe colocarse detrás de un firewall o VPN de la empresa. Esta vulnerabilidad solo afecta a los usuarios dentro de la misma organización (es decir, cuando una parte malintencionada ya tiene acceso a la red interna y a las credenciales de inicio de sesión de ClearML de un usuario).
  • Vulnerabilidad en WooCommerce WooCommerce Bookings (CVE-2023-47787)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/12/2023
    Fecha de última actualización: 22/12/2023
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en WooCommerce WooCommerce Bookings. Este problema afecta a WooCommerce Bookings: desde n/a hasta 2.0.3.
  • Vulnerabilidad en WooCommerce Canada Post Shipping Method (CVE-2023-47789)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/12/2023
    Fecha de última actualización: 22/12/2023
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en WooCommerce Canada Post Shipping Method. Este problema afecta a Canada Post Shipping Method: desde n/a hasta 2.8.3.